DVWA平台漏洞测试与源码分析（一）SQL注入

DVWA平台是初学网络安全者了解十大漏洞的有效途径，此平台收集了当前威胁网络安全的最常见的十大漏洞，并且为各位初学者提供了靶场实验环境，我们可以利用此平台进行各种攻击实验，从而丰富自己对于Web安全的认识。

这篇文章主要介绍了DVWA平台中的高危漏洞之一：SQL注入漏洞的测试以及DVWA平台关于SQL注入的PHP源码分析。

在进行攻击之前，首先要了解SQL注入攻击的原理，在Web程序运行过程中，数据库是不可缺少的一部分，当我们使用Web程序时，程序会根据我们的操作对数据库中的数据进行查询，而SQL注入漏洞就存在于这个查询过程中。攻击者利用一些恶意的脚本语句，将这些恶意语句嵌入到数据库查询语句中，从而破坏查询语句原有的功能，实现攻击者非法获取信息的目的。

在DVWA平台中，对每个漏洞都进行了四个等级的划分，分别是low、medium、high、impossible，接下来我会从low开始，逐步对SQL注入漏洞的PHP源码进行分析，并且进行相关的测试。

（1）low等级

从左下角的security level 可以看到是low等级。然后开始分析low等级代码：


<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) {// Get input$id = $_REQUEST[ 'id' ];// Check database$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );// Get results$num = mysql_numrows( $result );$i   = 0;while( $i < $num ) {// Get values$first = mysql_result( $result, $i, "first_name" );$last  = mysql_result( $result, $i, "last_name" );// Feedback for end userecho "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";// Increase loop count$i++;}mysql_close();
}?>

从PHP代码我们可以首先判断出，这个页面采用的是$_REQUEST变量，当我们点击Submit按钮时，程序就会将我们输入的字符插入到查询语句中，进行数据库查询，在low等级中，因为采用的是$_REQUEST变量，导致我们可以在文本框中随意输入，并且代码中也没有任何防御手段，所以这个Web程序存在字符型注入，接下来是测试过程：

当我输入id=1时，程序会查询数据库中的id为1的用户信息，并且回显出来。

这时，我在文本框中输入1' or 1=1#，回显结果是这样的，我们分析代码可以看出在数据库查询语句中，他是判断我们输入的id与user_id是否相同，如果一致就将查询结果赋给$result变量，然后通过mysql_num_rows()（mysql_num_rows()方法作用是返回结果集中行的数目）方法把结果集的行数赋给$num，将结果通过循环输出。我们输入的1' or 1=1 #这句脚本会导致查询语句在比对id与user_id是否一致时一直保持真的状态，所以将数据库中的所有用户信息全部输出。

（2）medium等级

<?phpif( isset( $_POST[ 'Submit' ] ) ) {// Get input$id = $_POST[ 'id' ];$id = mysql_real_escape_string( $id );// Check database$query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";$result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );// Get results$num = mysql_numrows( $result );$i   = 0;while( $i < $num ) {// Display values$first = mysql_result( $result, $i, "first_name" );$last  = mysql_result( $result, $i, "last_name" );// Feedback for end userecho "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";// Increase loop count$i++;}//mysql_close();
}?>

从页面左下角看到已经调整到了medium等级，这时页面也出现了一些变化，原本的文本框被替换成了下拉框，这是因为PHP代码中从原本的$RESQUEST变量改为了$POST变量，因为文本框的消失，导致我们无法直接进行字符型的注入，并且在代码中，还对我们输入的id值进行了转义处理，所以这时需要利用burp suite工具，在这一步骤时我遇到了一个问题，我启动burpsuite并且成功设置代理之后却怎么也无法抓取dvwa的流量包，但是其他网页还是可以抓取，这就很奇怪了

在火狐的代理设置里也没有在不使用代理里添加127.0.0.1，经过我百度发现一种方法是直接使用本机ip登录dvwa而不使用php专用的127.0.0.1，于是我去看了一下自己的ip，win+r输入cmd，然后在命令行输入ipconfig，然后用自己的IP地址登录dvwa就可以拦截成功了，虽然我不知道是什么原因，但是希望和我有一样问题的小伙伴可以少走一点弯路。

回归正题，接下来使用burpsuite进行SQL注入攻击：

首先点击左上角代理，我这是打了汉化包，原版的话应该是proxy，在setting里添加8080端口和local host，然后点击截断，原版是intercept，查看拦截的html请求。

拦截到的流量包的最后一行就是我们当时选择输入的指令此时，修改id后的数据，改成我们上面用过的1'or1=1，成功注入。从php源码我们可以看出代码对字符进行了转义，但是数字却没有转义，所以依旧存在数字型注入，于是便注入成功啦。

（3）high等级

<?phpif( isset( $_SESSION [ 'id' ] ) ) {// Get input$id = $_SESSION[ 'id' ];// Check database$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";$result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' );// Get results$num = mysql_numrows( $result );$i   = 0;while( $i < $num ) {// Get values$first = mysql_result( $result, $i, "first_name" );$last  = mysql_result( $result, $i, "last_name" );// Feedback for end userecho "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";// Increase loop count$i++;}mysql_close();
}?>

此时安全等级改为high等级，发现这次连下拉框都没了，直接变成了一个弹窗指令。。。查看代码，发现是因为这次代码改成了$_session变量，但是代码中反而没有对字符进行转义，那我们尝试一下直接点击之后注入，输入1' or 1=1#会有什么效果呢，

没想到阿，这直接注入成功了，这个high等级给我的感觉还不如medium，但是这个代码有个坑，那就是他后面是有一个limit 1的，这个字句的作用是只能返回一行数据，返回的数据量大于一行或者你输入的语句他判断是假的话就会报错，然后你就进不去SQL注入的high等级了，重启之后才能重新进去，所以在输入payload时要注意书写规范，记得加空格，不然都是泪。。。

这就是关于DVWA的SQL注入部分的个人理解，欢迎交流。